Facendo una scansione
dei noti ranges IP che hostavano ultimamente il pericoloso link a
MBR rootkit e' capitato di trovare altri siti con script offuscati, diversi da quello cercato, ma comunque sempre pericolosi.
Vediamo ad esempio questa pagina
![](//1.bp.blogspot.com/_-6waw8mcpyI/SB_eJZvG9lI/AAAAAAAAEyk/xbiXZOxQJUc/s400/urlgrupogd.jpg)
con whois
![](//4.bp.blogspot.com/_-6waw8mcpyI/SB_eJJvG9kI/AAAAAAAAEyc/XjTZL-dSEdE/s400/whoisgrupogd.jpg)
che contiene questo codice offuscato
![](//1.bp.blogspot.com/_-6waw8mcpyI/SB_eJZvG9mI/AAAAAAAAEys/Ls5GtosJBB0/s400/grupogd+2008-05-06_110057.jpg)
Una volta deoffuscato abbiamo il seguente link a
![](//4.bp.blogspot.com/_-6waw8mcpyI/SB_efJvG9nI/AAAAAAAAEy0/R4ez0_sGoVg/s400/deoffuscata1.jpg)
La pagina in questione e' hostata su server russo ed e'
compresa in un range IP sinonimo di script pericolosi e malware di vario genere![](//1.bp.blogspot.com/_-6waw8mcpyI/SB_efZvG9oI/AAAAAAAAEy8/M2ByqCUAt-Y/s400/russianwhois.jpg)
Il codice pericoloso e' contenuto in un iframe nascosto nella pagina che altrimenti sembrerebbe solo fornire, a chi la visita, un messaggio di avvertimento sulla non autorizzazione ad accedere al sito.
![](//1.bp.blogspot.com/_-6waw8mcpyI/SB_efZvG9pI/AAAAAAAAEzE/99ba4Ecuqw0/s400/rusiianpage.jpg)
In realta' invece abbiamo un javascript offuscato che reindirizza ad altre pagine con malware.
![](//4.bp.blogspot.com/_-6waw8mcpyI/SB_fgJvG9qI/AAAAAAAAEzM/aD9EbbhQKCU/s400/iframerussian.jpg)
Alcune info su script simili si possono trovare
su questa pagina di Bit Defender.
Edgar
Nessun commento:
Posta un commento